Menu Close

Red Hat Training

A Red Hat training course is available for RHEL 8

32.10.2. AD 子ドメインのホストが IdM サーバーからサービスを要求する場合の情報フロー

以下の図は、子ドメインの Active Directory(AD)ホストが Identity Management(IdM)ドメインのサービスを要求する場合の情報フローを示しています。このシナリオでは、AD クライアントは子ドメインの Kerberos Distribution Center(KDC)に接続し、AD フォレストルートで KDC に接続し、最後に IdM KDC にアクセスして IdM サービスへのアクセスを要求します。

AD クライアントから IdM サービスにアクセスでき、AD クライアントが AD フォレストルートの子ドメインであるドメインに属する場合は、この情報を使用してトラブルシューティング作業を絞り込み、問題の原因を特定できます。

diagram showing how an AD client in a chile domain communicates with multiple layers of AD Domain Controllers and an IdM server

  1. AD クライアントは、独自のドメインの AD Kerberos Distribution Center(KDC)に問い合わせて、IdM ドメインのサービスの TGS 要求を実行します。
  2. child.ad.example.com の AD KDC は、子ドメインで、サービスが信頼できる IdM ドメインに属することを認識します。
  3. 子ドメインの AD KDC は、クライアントに AD フォレストルートドメイン ad.example.com の参照チケットを送信します。
  4. AD クライアントは、IdM ドメインのサービスの AD フォレストルートドメインの KDC に問い合わせます。
  5. フォレストルートドメインの KDC は、サービスが信頼される IdM ドメインに属することを認識します。
  6. AD KDC は、信頼された IdM KDC への参照と共にクライアントをレルム間の TGT(Ticket-Granting Ticket)に送信します。
  7. AD クライアントはレルム間の TGT を使用して、IdM KDC にチケットを要求します。
  8. IdM KDC は、レルム間の TGT で送信される Privileged Attribute Certificate(MS-PAC)を検証します。
  9. IPA-KDB プラグインは LDAP ディレクトリーを確認して、要求されたサービスの外部プリンシパルを取得できるかどうかを確認します。
  10. IPA-KDB プラグインは MS-PAC をデコードし、データを検証し、フィルターします。LDAP サーバーでルックアップを実行して、MS-PAC をローカルグループなどの追加情報で拡張する必要があるかどうかを確認します。
  11. 次に IPA-KDB プラグインは PAC をエンコードし、これに署名し、サービスチケットに割り当て、AD クライアントに送信します。
  12. AD クライアントは、IdM KDC が発行するサービスチケットを使用して IdM サービスに接続できるようになりました。